监控网络设计与网络安全主讲人:王建奎昆山安防协会第九期技术人员培训班•视频监控系统走过的历程•第一阶段:闭路电视监控系统为主,也就是第一代模拟电视监控系统•第二阶段:以基于电脑插卡式的视频监控系统为主。•第三阶段:以嵌入式技术为依托,以网络、通信技术为平台,以智能图像分析为特色的网络视频监控系统为主。•发展趋势:数字化、网络化、集成化、智能化。一、视频监控网络的架构二、视频监控网络的规划设计三、视频监控网络的实施与安全视频监控网络架构1、二层网络架构2、三层网络架构4、大型路由网络架构3、PON网络架构二层网络架构核心层交换机主控中心接入层交换机…………1000M10/100/1000M接入层交换机二层网络架构核心层交换机主控中心接入层交换机…………1000M10/100/1000M接入层交换机视频监控网络架构1、二层网络架构2、三层网络架构4、大型路由网络架构3、PON网络架构三层网络架构核心层交换机主控中心接入层交换机…………1000M10/100/1000M接入层交换机汇聚层交换机三层网络架构核心层交换机主控中心接入层交换机…………1000M10/100/1000M接入层交换机汇聚层交换机汇聚层交换机视频监控网络架构1、二层网络架构2、三层网络架构4、大型路由网络架构3、PON网络架构PON网络架构EPON网络传输EPON网络接口EPON网络传输•分光器一般有1:N和2:N各种分支比。•常见1分2、1分4、1分8、1分16、1分32等。•对于1分2的分支比,功率会有平均分配(50:50)和非平均分配(5:95、40:60、25:75)多种类型。•设计时要仔细计算光损耗。EPON网络传输OLTONU视频监控网络架构1、二层网络架构2、三层网络架构4、大型路由网络架构3、PON网络架构大型路由网络架构•什么是大型路由网络?•就是将多个二层网络、三层网络、光纤网络等等集合连通,形成一个有统一规划的互通的大型的视频监控网络。•注意:–大型视频监控网络设计时要考虑到路由协议、路由设备、安全设备、VPN、专线等等。还要考虑IP地址规划及带宽。大型路由网络架构一、视频监控网络的架构二、视频监控网络的规划设计三、视频监控网络的实施与安全视频监控网络的规划设计3、设计步骤2、设计依据1、设计原则1、设计原则•监控网络是承载整个监控系统的传输最重要的部分,设计时要求我们设计单位进行合理的设计。主要是以下几个方面:•分层设计•二层网络架构•三层网络架构•EPON网络架构•路由型网络架构•可靠性和自愈能力•链路冗余•模块冗余•设备冗余•路由冗余1、设计原则•网络的扩展能力–交换容量扩展•交换容量应具备在现有基础上继续扩充4~8倍容量的能力,以适应IP类业务急速膨胀的现实。–端口密度扩展•设备的端口密度应能满足网络扩容时设备间互联的需要。–主干带宽扩展•主干带宽应具备高带宽扩展能力,以适应IP类业务急速膨胀的现实。–网络规模扩展•网络体系、路由协议的规划和设备的CPU/NP路由处理能力,在网络节点数目上应能满足3~5年的扩展要求。1、设计原则•通信协议的支持–网络通信协议•以支持TCP/IP协议为主,支持单播、组播协议,包括IPv4、TCP、UDP、ARP、ICMP、DHCP、NTP、HTTP、RTSP、IGMPV2、FTP、RTP、RTCP等协议。•支持网络冗余备份协议,STP、RSTP、MSTP、RRPP等。–域内路由协议•支持RIP、RIPv2、OSPF等多种国际标准的路由协议。并采取合理的区域划分和路由规划(例如网址汇总等)来保证网络的稳定性;应提供适当的路由规划的后备方案。–域间通信•支持国际标准路由协议以为,是否需要支持VPN协议,需要的话使用哪种VPN协议。视频监控网络的规划设计3、设计步骤2、设计依据1、设计原则2、设计依据•JGJ/T16-92《民用建筑电气设计规范》•GA/T75-94《安全防范工程程序与要求》•GB50198-94《民用闭路监视电视系统工程技术规范》•GY/T106-92《有线电视广播技术规范》•GB50174-93《电子计算机房设计规范》•GBJ115-87《工业电视系统工程设计规范》•GB0174-93《电子计算机主控室设计规范》•IEC/ISO1180《国际建筑布线标准》•ANSIFDDI《光纤分布式数据接口高速局域网标准》•地方标准必须要满足。视频监控网络的规划设计3、设计步骤2、设计依据1、设计原则3、设计步骤•首先是监控布点–重点部位不低于200万像素摄像机–重点部位独立供电–重点部位带存储卡–是否部分位置使用POE供电(注意POE供电标准,供电功率,摄像机和POE交换机是否匹配)•其次是确定接入交换机位置–保证每个摄像机到接入交换机的距离能够满足标准要求。–对于距离较远的可以考虑光纤传输。3、设计步骤•确定存储设备位置–存储设备接在核心交换机还是汇聚交换机–确定存储接多少路摄像机–计算存储的硬盘空间(前后端一致)3、设计步骤•计算带宽–计算各个接入交换机的上行带宽–计算汇聚交换机的上行带宽–计算存储接入带宽计算带宽计算带宽•网络实用带宽的估算方法应符合下列规定–对Ⅱ类及以下规模的数字视频安防监控系统,前端设备接入监控中心所需的网络实用带宽应≥系统接入的视频路数×单路视频码率×2–对Ⅱ类以上规模的数字视频安防监控系统,网络实用带宽的估算方法应符合以下规定•(1).数字录像设备置于监控中心的数字视频安防监控系统,前端设备接入监控中心所需的网络实用带宽应≥系统接入的视频路数×单路视频码率+允许并发显示的视频路数×单路视频码率•(2).数字录像设备置于前端的数字视频安防监控系统,前端设备接入网络视频录像设备所需的网络实用带宽应≥系统接入的视频路数×单路视频码率,前端设备和数字录像设备接入监控中心所需的网络实用带宽应≥允许并发显示的视频路数×单路视频码率+允许并发回放的视频路数×单路视频码率计算带宽核心层交换机主控中心接入层交换机…………1000M10/100/1000M接入层交换机多台3、设计步骤•确定网络架构–就是确定我们到底使用什么网络架构•二层网络架构•三层网络架构•EPON网络架构•路由型网络架构3、设计步骤•设备选型–一级交换机(接入层)的基本参数应符合下列规定•1.交换容量应≥19.2Gbps•2.包转发率应≥6.5Mpps风暴抑制,支持VLAN划分–二级交换机(汇聚层)的基本参数应符合下列规定•1.交换容量应≥192Gbps•2.包转发率应≥36Mpps•3.汇聚层交换机为全千兆交换机设备选型•端口数量:即交换机共有多少口,是否有复用口。•端口带宽:即交换机是百兆交换机还是千兆交换机,上行口是否有千兆口。•背板带宽:即交换机接口处理器或接口卡和数据总线间所能吞吐的最大数据量。背板带宽标志了交换机总的数据交换能力,单位为Gbps,也叫交换带宽,一般的交换机的背板带宽从几Gbps到上百Gbps不等。一台交换机的背板带宽越高,所能处理数据的能力就越强,但同时设计成本也会越高。•包转发率:包转发率标志了交换机转发数据包能力的大小。单位一般为pps(包每秒),一般交换机的包转发率在几十Kpps到几百Mpps不等。包转发速率是指交换机每秒可以转发多少百万个数据包(Mpps),即交换机能同时转发的数据包的数量。包转发率以数据包为单位体现了交换机的交换能力。设备选型•交换容量:交换容量的大小由缓存(BUFFER)的位宽及其总线频率决定。即,交换容量=缓存位宽*缓存总线频率。交换机端口均支持全双工,因此交换机端口容量是其能够提供端口之和的两倍•当监控、可视对讲及报警都使用数字系统,监控网络和对讲报警网络合用时,接入交换机应支持VLAN划分,对讲报警系统和监控系统应不在同一VLAN中。最好接入交换机支持QoS,做到报警信号优先。•网络交换机应提供工信部或工信部认可的检测机构出具的检测报告(符合全双工、线速标准),并持有有效的工信部入网许可证。检测报告中的检测依据中至少有YD/T1099、YD/T1141、YD/T1148、YD/T1627、YD/T1628的标准•室内部分摄像机考虑使用POE的方式供电时,供电摄像机的总功率应小于交换机POE端口的供电功率。POE交换机的供电标准和摄像机的POE供电标准要相互匹配。3、设计步骤•确定前端布点表序号编号路由编号区域名称监视区域接入交换机端口汇聚交换机端口核心交换机端口DVR通道1C01-01ASW1-1SSW1-1CSW1-1DVR1-1园区出入口12C01-02出入口2xCxx-xxxCxx-xx1号楼xCxx-xx2号楼方案设计时其他注意事项•网络交换机不宜放在室外环境。如必须放在室外环境,则应选择工业级的网络交换产品。前端设备箱应做好通风、遮阳、降温、防破坏等防护措施,确保交换机的正常工作。•网络型摄像机应与数字录像设备实现时钟同步。当系统由多台数字录像设备组成并同时运行时,在确保图像不丢失的前提下,应实现时钟同步。•系统较为重要时,可以考虑使用环形网络进行设计、汇聚与核心双冗余设计。环形网络设计设备选择需要支持环网协议。其优点是断掉任何一根上行线均不会引起网络中断。汇聚与核心双冗余设计优点是提供了整个监控系统的可靠性、冗余性。•现在设计的网络对网络安全方面考虑甚少,甚至根本就没有考虑。做为我们设计人员,应改为客户考虑更为长远,让监控网络更为实用、安全、可靠。一、视频监控网络的架构二、视频监控网络的规划设计三、视频监控网络的实施与安全监控网络实施•什么是网络实施?•实施对项目而言是重中之重,它能够体现出你的项目设计是否达到要求、规划是否合理,实施是否规范、是否达到响应的目标。实施并不是调通了就是实施完成,真正的实施是如何根据现场实际的情况进行合理的、有效的调整规划设计的网络不足之处。当设计非常完美、完全达到了现场要求时,就应该安装规划的实施方案进行施工。监控网络安全•网络管理与安全–支持整个网络系统各种网络设备的统一网络管理。–支持故障管理、配置管理、性能管理和安全管理等功能。–支持系统级的管理,包括系统分析、系统规划等;支持基于策略的管理,对策略的修改能够立即反应到所有相关设备中。–网络设备支持多级管理权限。–支持安全监控和控制机制,当发现存在安全漏洞和遭到攻击时,应及时通知网络管理人员,并应自动采取适当的措施予以保护。–支持安全防御设备、网络基础设备以及网管系统的安全联动功能,以便及时对网络威胁的实时处理。谢谢!